4/19/2014

[IT] OpenSSL脆弱性で三菱UFJニコスから個人情報大量漏洩

OpenSSLの深刻な脆弱性、通称Heartbleedの件ですけれども。やはりというか、金融機関も直撃していた事が明らかになったそうです。

国内初となるその対象はクレジットカード大手の三菱UFJニコス。確認されているだけで900人弱の顧客の氏名、住所、生年月日、カード番号、有効期限、勤務先まで。カード番号の一部は非公開で被害も今のところ無い旨主張しているそうですが、全データが筒抜けになる、という本件脆弱性の性質からして、到底信じられよう筈もありません。被害を受けた利用者の方々には誠にご愁傷様です。

しかしあれですね、OpenSSLがいくら標準とは言え、クリティカルな用途でフリーのソフトを使用する事にはやはり看過し難い重大なリスクを伴う、それは当たり前の話なわけで。ベンダは不明ですけれども、それがどこであれ、そのリスクを甘く見たベンダ、またUFJニコスの責任は免れないところでしょう。

だからと言って、今更自前に置き換える事は、主に費用の面からとても大変な話でしょうし、さてどうするつもりやら。これから山程出てくるだろう同様のケースも含め、どう始末を付けるのか、ベンダ各社はそれぞれ頭を悩ませているといったところでしょうか。仮に置き換える場合、従来無料だった所にコストが発生するわけですけれども、その費用はベンダが負うべきものだろうところ、場所が場所だけに額は相当なものになるでしょうから、多くのSIerにとっては小さくない打撃になりそうです。

まあしょうがないですよね。コストと信頼性を秤にかけて、リスクを低く見積り、大丈夫だろうと高を括って安易に安価な構成を選んだ結果、そのツケを払わされているだけの事なわけですから。結局のところ、タダより高いものはない、ってだけの自業自得な話です。

三菱UFJニコス、個人情報894人分流出か

[関連記事 [IT] OpenSSLに深刻な脆弱性、通称Heartbleed]